01.06.2022 | ISO-Zertifikat für Prozessinformatik der Axpo Grid AG
Cyber-Angriffe machen auch vor Energieversorgern nicht halt. Die Axpo Grid AG hat mehrere Projekte lanciert, um die Stromnetzinfrastruktur zu schützen. Als eine der ersten Energieversorgerinnen der Schweiz hat sie ein ISO-Zertifikat für ihre Prozessinformatik erhalten.
Benzinknappheit wegen einer lahmgelegten Pipeline in den USA, Verschlüsselung von Servern mit Lösegeldforderung oder gezielte Überlastung bestimmter Webseiten – Cyber-Angriffe sind zu einer realen Bedrohung geworden. Die Energiebranche und andere kritische Infrastrukturen stehen bei Cyber-Kriminellen hoch im Kurs.
Seit 2016 befasst sich Axpo Grid mit dem Thema Operational Technology Security (OT Security), also mit den Strategien und Prozessen zum Schutz kritischer Infrastruktur und Daten. Axpo Grid möchte sich im Bereich OT Security bei der Infrastruktur des eigenen überregionalen Verteilnetzes verbessern und gleichzeitig eine «Best Practice» schaffen, auch für andere Energieanbieter. Die Vielfalt möglicher Schwachstellen ist gross, so Ivo Müller, Leiter Betrieb & Instandhaltung bei Axpo Grid: «Ungeschützte Verbindungen, Fernzugriffe externer Hersteller, langlebige Komponenten ohne regelmässige Sicherheitsupdates oder auch einfach das fehlende Bewusstsein der Mitarbeitenden für Cyber-Sicherheit können die Sicherheit einer Infrastruktur schwächen».
Zu den Grundpfeilern einer soliden OT Security gehört die sogenannte Zonierung des Datennetzwerks. Damit lässt sich der Datenverkehr besser kontrollieren. Dabei können je nach Schutzbedarf für jeden Netzwerkbereich erhöhte Sicherheitsvorgaben oder eingeschränkte Zugriffsrechte definiert werden. Auch mit dem Monitoring der Aktivitäten zwischen den Geräten in einem Netzwerk lassen sich Angriffe auffangen. Für die Umsetzung des Monitorings installierten die Projektverantwortlichen der Axpo in den Unterwerken spezielle Sensoren. Diese überwachen die Datennetzwerke, erkennen abnormale Aktivitäten und setzen in einem solchen Fall eine Meldung ab. Bei einem verdächtigen Vorgang sind klar festgelegte Prozesse von grosser Wichtigkeit, betont Müller: «Mit sogenannten Runbooks legen wir die Abläufe im Fall eines Cyber-Angriffs genau fest. So stellen wir sicher, dass wir auch im Krisenmodus rasch und richtig handeln können».
Während früher in Energieversorgungsanlagen oft alle Anlagenteile in einem einzigen Datennetzwerk zusammengefasst waren, ist dies bei definierten Zonenkonzepten nicht mehr der Fall. Die technische Grundlage der Zonenkonzepte sind redundante Switches, Router und Firewalls in den Werken, bei der Netzleitstelle sowie in der übergeordneten Kommunikationsstruktur. «In den Unterwerken gibt es Geräte unterschiedlicher Baujahre und Hersteller, die wir sinnvoll gruppierten, um die Modernisierungs- und Sicherheitsmassnahmen in Etappen umzusetzen», erinnert sich Daniel Schirato, IT/OT Security Officer bei Axpo Grid, an die Herausforderungen bei der Projektumsetzung. Um den hohen Anforderungen an die OT Security zu entsprechen, werden die Anlagen nun kontinuierlich erneuert.
Die Arbeit hat sich gelohnt: Als eine der ersten Energieversorgerinnen der Schweiz erhielten die Axpo Grid AG und ihre Tochterfirma, die Axpo WZ Systems AG, für ihre OT Security die ISO Norm Zertifikate 27001 für die Informationssicherheit ihrer Prozessinformatik sowie 27019 für ergänzende sektorspezifische Massnahmen (Axpo Grid: ISO 27001 und 27019; Axpo WZ-Systems: ISO 27001). Die kürzlich erfolgten Zertifizierungen stärken nicht nur das Vertrauen in die Axpo, sondern verpflichten das Unternehmen auch, ihre Cyber-Sicherheit auf dem Stand der Technik zu halten und kontinuierlich weiterzuentwickeln. Nicht zuletzt sichert die Zertifizierung auch den nachhaltigen Nutzen der getätigten, erheblichen Investitionen.
Auf den Lorbeeren ausruhen wird sich Axpo Grid aber nicht, stellt Müller klar: «Unsere Vorreiterrolle möchten wir nutzen, um andere Energieversorger zu motivieren. Gerne bieten wir dazu unsere Unterstützung an, denn das Schweizer Stromnetz ist nur so stark wie jeder seiner Akteure». Ausserdem sei davon auszugehen, dass eine Zertifizierung für Schweizer Energieversorger in Zukunft zur Pflicht werde, wie es im umliegenden Ausland bereits der Fall sei.
Im Bereich Operational Technology (OT) sind Geräte und Anlagen angesiedelt, die direkt an physischen Produktionsprozessen beteiligt sind – z. B. in einem Kraftwerk die Schutz-, Steuer- und Regelungseinrichtungen einer Turbine oder in Unterwerken Systeme der Leitungsfelder oder Transformatoren sowie die dafür benötigten Kommunikationsinfrastrukturen. Im Gegensatz dazu beschäftigt sich die Information Technology (IT) mit der kommerziellen Datenverarbeitung, die nicht direkt mit physischen Prozessen verknüpft ist.
Mit der Operational Technology Security (OT Security) lassen sich industrielle Systeme überwachen und schützen, insbesondere vor kriminellen Angriffen z. B. über das Internet. Ein umfassendes OT Security System besteht dabei aus einem organisatorischen Konzept und aus technischen Massnahmen an den Anlagen.